文库文档
美文大全
工作总结
工作报告
工作计划
汇报体会
策划方案
材料资料
作文大全
论文大全
求职/简历
礼仪规范
文秘工作
公文资料
道德思想
党团/申请书
演讲稿
发言致辞
企事业工作
合同大全
主页 > 文库 > 教育文库 >

vpn(零基础)

2019-08-31 14:10

在技术支持VPN(IPSec)配置的过程中,有些过程是比较痛苦的。遂写成这篇纯粹的“配置”文档,希望能够减轻彼此的痛苦,对大家以后在测试、上点,技术排错,定位问题有所帮助。本文档不包括所有的配置命令细节,所有的配置命令细节请参考相关的配置手册。

十分感谢 迈普 李强先生 提供相关资料. 今天提供第一章节 建立vpn的概念.

1.建立VPN的概念

或许您想迫不及待的翻到后面的配置案例上去,但是还是建议您能够耐下心来将这一节看完。这里所说的VPN是指IPSec,不是指VPDN(L2TP)。

1.1.VPN是什么?能够实现什么功能?

VPN是虚拟私网(Virtual Prviate Network)的简称。 假如有两个分支机构需要互联,我们看看传统的解决方案:

传统的解决方案是租用电信的DDN或者FR线路。优点是显而易见的,可靠、安全。缺点也是显而易见的,成本太高。

我们再看看VPN的解决方案:

大家可以看到,网络图都基本相似,只是接入的地方换成了VPN设备(我们的安全路由器其实也是VPN设备,只是为了突出其VPN功能,在图中标识成VPN),中间不再是电信的DDN或者FR网络,而是廉价的Internet。也就是说,采用VPN后,你只要向电信或者联通、广电等ISP申请Internet接入即可轻松实现互联。

1.2.VPN是如何实现类似于专线的功能的?

VPN是采用了IPSec协议在封装报文,将封装后的加密报文通过Internet进行传输,基于密码学的数学技术能够保证该加密报文不能够轻易解密和篡改。IPSec是一组协议族,一般有两种协议ESP(Encapsulation Security Payload,封装安全载荷)和AH(Authentication Head,认证头)。前者能够加密和验证,后者仅仅提供验证。两者都支持验证,其区别是后者验证的范围更广(AH的验证范围包括IP报头,正是由于这一点,导致与NAT设备存在根本矛盾)。在目前的实际使用中,一般仅仅使用ESP。

注释:

1、 加密:加密是指输入明文和密钥,结果产生密文。加密的两个重要的要

素是密钥和加密算法。业界公认的看法是加密算法必须公开。目前路由器和VPN3020支持DES、3DES、AES等加密算法,另外也支持国密办的SSP02算法。

2、 验证:验证可以简单的类比为校验和。是为了保证数据在传送过程中没

有被篡改。比校验和强大的地方在于:中途更改数据了以后,可以重新

计算校验和,而验证算法可以避免这一点。或许您会以为既然如此,也可以更改数据了以后,重新用验证算法计算一次不就可以了。事实上确实如此,故此,人们在验证算法上加入了消息验证码(HMAC),在运行验证算法的时候,还加入了一串密钥——消息认证码,由于篡改者无从知晓该消息验证码,因此可以保证数据的完整性。

以下是摘自《VPN3020与SSL600的应用对比.doc》文档中的章节:

IPSec,顾名思义,是IP层的安全(Security)。它是工作在IP层,对IP层的数据进行加密(就是这一特性导致与SSL600的应用环境存在差异,后面还要详细讲述)。IPSec协议有两种模式——传送模式和通道模式(tunnel),传送模式在这里不作阐述。对于VPN网关来说,只有通道模式才有意义。下图说明通道模式对报文的处理。

下面我们从一个实例来说明IPSec VPN网络建立后是如何对报文进行封装和处理的。

3020(A)

当报文到达3020的时候,我们知道两个局域网的地址均是内网地址,在Internet是无法路由的。怎么办呢?如果要想报文能在Internet上传输,必须要求源和目的均是公网IP地址。IPSec VPN的处理方式是给该报文新封装了一层IP报头,新IP报头的源IP地址是3020(A)的出口地址(1.1.1.1),目的地址是3020(B)的出口地址(2.2.2.2),因此,经过3020处理后的报文如图2,其中ESP尾部数据是主要是填充使用的。这时候,新的IP报文就可以在Internet上传输,并且原来的IP报文也已经被加密。达到3020(B)的时候,3020(B)对该报文进行解密,得到原来的报文,如图3。该报文目的地址是192.168.2.1,就可以访问PC(B)。回来的过程与此类似,不再赘述。

从上面的分析中,我们可以看出IPSec VPN的部署能够实现局域网之间的互联,对IP层之上应用是透明的,也就是说,不管上层是什么协议,如TCP、UDP、ICMP,都可以互通。

VPN配置—从入门到精通:VPN所遇到的问题

2008-10-5来源:迈普 作者:佚名 点击: 次

在技术支持VPN(IPSec)配置的过程中,有些过程是比较痛苦的。遂写成这篇纯粹的“配置”文档,希望能够减轻彼此的痛苦,对大家以后在测试、上点,技术排错,定位问题有所帮助。本文档不包括所有的配置命令细节,所有的配置命令细节请参考相关的配置手册。

十分感谢 迈普 李强先生 提供相关资料. 今天提供第二章节 VPN所遇到的问题

2.VPN所遇到的问题

如果你仅仅只是在客户面前摆上两台路由器或者VPN3020,然后对他说,我们来搭建环境测试一下VPN哈,OK,这一节您可以跳过。如果你是要实际上点、部署VPN网络和客户吹吹VPN,建议还是看看。

本节包括以下专题: 1、 动态加密映射 2、 NAT穿越 3、 身份认证

2.1.动态加密映射

前面我们谈到过,建立VPN隧道需要两端都接入公网,在一般情况下,每建立一条隧道就需要两端做相应的配置,并且,在上面的解说中,我们也看到应该知道两端的公网地址。这样在实际使用中就会碰到两个问题:

1、 假如一端是ADSL或者PPPoE动态拨号加入,对端并不知道本端的IP。


  • 共9页:
  • 上一页
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 下一页
    • vpn(零基础).doc 将本文的Word文档下载到电脑 下载失败或者文档不完整,请联系客服人员解决!
    下载这篇word文档

    下一篇:江苏省2012届高三数学 全真模拟卷卷13

    相关阅读
    本类排行
    × 注册会员免费下载(下载后可以自由复制和排版)

    马上注册会员

    注:下载文档有可能“只有目录或者内容不全”等情况,请下载之前注意辨别,如果您已付费且无法下载或内容有问题,请联系我们协助你处理。
    微信: QQ: